Next - Adobe bouche 19 failles dans Flash, dont une déjà exploitée

Adobe Flash finit l'année avec une importante mise à jour de sécurité. Dans cette fournée, 19 failles de sécurité sont bouchées, dont une déjà exploitée. Il est donc recommandé de se mettre à jour dès que possible.

Les annonces s'enchainent et se ressemblent pour Adobe qui vient de publier un nouveau bulletin de sécurité pour Flash et Air, accompagné d'une mise à jour dans les deux cas. Il y est question de pas moins de 19 failles critiques, dont une de type 0-day, c'est-à-dire qu'elle est déjà exploitée au moment où l'éditeur propose le correctif.

Concernant cette dernière (identifiée sous le numéro CVE-2015-8651), la société précise qu'elle a connaissance d'au moins un rapport indiquant qu'elle est d'ores et déjà utilisée dans « des attaques limitées et ciblées ». Il s'agit d'un dépassement d'entier qui permet ensuite de prendre le contrôle à distance de la machine. Pour le reste, Adobe n'est pas très bavard sur les détails, mais les conséquences peuvent être fâcheuses puisqu'il est toujours question d'exécuter sur code à distance.

Les versions de Flash inférieures à la 20.0.235 sont touchées (que ce soit sur Windows, OS X, Linux, Chrome OS, Internet Explorer 10/11, Edge et Chrome). Dans tous les cas, il faut passer à la mouture 20.0.0.267 pour combler les brèches (11.2.202.559 pour Linux). Concernant la branche 18.x qui bénéficie d'un support étendu, la mise à jour porte le numéro de version 18.0.0.324, tandis que pour Adobe Air (Windows, OS X, Android et iOS), elle est estampillée 20.0.233.

Comme toujours en pareille situation, il est donc recommandé de se mettre à jour. Vous pouvez vérifier la version de Flash installée sur votre machine en vous rendant sur cette page.

Commentaires (47)

Stel

Il y a 8 ans

QUand est-ce qu’on va être débarrassé de ce mamouth increvable et bugué jusqu’a la moelle ?

La Loutre

Flash on l’appeler Denver le Dernier Dinosaure sauf que lui, ce n’est pas notre ami et bien plus encore…
Sans déconner même les sites pr0n sont passés en HTML4 pour la vidéo. (C’est un pote qui m’a dit ça. " />)

Soltek

Cool en plus le mois prochain on ne pourra plus télécharger les .exe ou .msi pour déployer cette " /> sans avoir un contrat chez Adobe " />

Source.

Cara62

Normal le html5 est natif pour la plupart des navigateurs mobiles…. " />

Toi aussi c’est un pote qui te l’a dit ? " /> " />
‘Fin bon, il était temps parce que flash sur smartphone est parfait si on veut tuer une batterie. " />

jeje07bis

Soltek a écrit :

Cool en plus le mois prochain on ne pourra plus télécharger les .exe ou .msi pour déployer cette " /> sans avoir un contrat chez Adobe " />

Source.

putain font chier…… " />

Jarodd Abonné

Il me semblait que les correctifs étaient abandonnés pour la version Linux ? " />

Obidoub

Jarodd a écrit :

Il me semblait que les correctifs étaient abandonnés pour la version Linux ? " />

Les correctifs non, les évolutions oui. C’est toujours la 11.2 mais elle reçoit des mises à jour de sécurité.

Berri-UQAM

Non, c’est en 2017 que ça finit :https://blogs.adobe.com/flashplayer/2012/02/adobe-and-google-partnering-for-flas…

jaretlafoudre

Aces a écrit :

Toi aussi c’est un pote qui te l’a dit ? " /> " />
‘Fin bon, il était temps parce que flash sur smartphone est parfait si on veut tuer une batterie. " />

Le HTML 5 c’est encore pire…

Pas sur le mien enfin, si ça baisse mais pas comme flash. :^)

John Shaft Abonné

Ça doit être un plan pour forcer les entreprises à virer ce machin des postes " />

DownThemAll

Je suis entrain de remplir le formulaire, c’est chiant.
Par contre ça concerne Flash player, reader, air et shockwave player…

Aces a écrit :

Pas sur le mien enfin, si ça baisse mais pas comme flash. :^)

Ca dépends de ce qu’on fait avec je suppose, lecteur vidéo etc ça doit être mieux, mais par exemple, j’avais fait en flash un lecteur de code EAN freemove, qui tournais parfaitement sur un GS3,  j’ai du le refaire en javascript sur chrome (déjà il n’y a que chrome qui permet d’accéder a la caméra du smartphone), résultat, il tallait au moine un haut de gamme de l’année dernière pour le faire tourner de façon aussi efficace… environ 4x plus de ram utilisé, et 35x plus de ressource CPU.
sur le GS3 je passais d’une analyse a la frame, à une analyse à plus de 1 image/s… j’ai même essayé des bibliothèque JS  toute faite en me disant que mon code était peut être pas bien optimisé, c’était encore pire…

Commentaire_supprime

Stel a écrit :

QUand est-ce qu’on va être débarrassé de ce mamouth increvable et bugué jusqu’a la moelle ?

Aces a écrit :

Flash on l’appeler Denver le Dernier Dinosaure sauf que lui, ce n’est pas notre ami et bien plus encore…
Sans déconner même les sites pr0n sont passés en HTML4 pour la vidéo. (C’est un pote qui m’a dit ça. " />)

+1. surtout que sous Tux, les alternatives (Gnash chez moi), ça marche si ça veut, au bon vouloir des sites…

Devoir se farcir Chrome rien qu’en backup pour ce genre de situation, zut à la fin !

vizir67 Abonné

ah bon !
je n’ai pas cette impression !

Winderly Abonné

Je sais bien qu’il n’existe aucun logiciel sans faille mais, depuis que Flash existe, il en a cumulé combien ?
Ça doit probablement être un chiffre à faire rêver.

MuadJC

Stel a écrit :

QUand est-ce qu’on va être débarrassé de ce mamouth increvable et bugué jusqu’a la moelle ?

J’ai toujours répété que certains en ont besoin!

Néanmoins, cet article me fait basculer du coté de ceux qui vont par principe le désinstaller de mon firefox.
(reste toujours Edge en cas d’urgence, genre accéder à mon NAS…)

anonyme_e7b1167bdc33fe60206a1bcdfad66937

Mais on s’en fiche du nombre de failles… L’essentiel est qu’elles soient corrigées rapidement.

Exception

Qu’en est-il du support Flash intégré à Chrome ? Concerné aussi ou pas par les failles ?

Winderly a écrit :

Je sais bien qu’il n’existe aucun logiciel sans faille mais, depuis que Flash existe, il en a cumulé combien ?
Ça doit probablement être un chiffre à faire rêver.

je dirais approximativement 15.925.647 ^1000, à +/- 10% " />

Abused

si on veut compter le nombre de failles > MCrosoft est en tete
surtout qu’il y a encore des failles 0-days non comblées a gauche et a droite …

le plus gros probleme de Flash : la Pub
ce qui a tenu Flash aussi longtemps : la Pub

je dois encore avoir quelque part FuturSplash

pour ce qui est des flux videos avec du Html5 sur mobile
ca tue tout aussi vite la batterie que du flash

t0FF

Et tu trouves que c’est le cas ici ? " />

asusien

petite question ;
Si un particulier  qui se sert rarement de flash (merci HTML 5)  n’est-il pas préférable de passer en version ESR (les nouveautés…tout le monde ne s’en sers pas) ?

Sur leurs site ont lit clairement “…privilégier la stabilité de Flash Player plutôt que ses nouveautés….”
 
Merci

sniperdc

Allez petit flash ne résiste pas…. meurt paisiblement

BarthVR

Soltek a écrit :

Cool en plus le mois prochain on ne pourra plus télécharger les .exe ou .msi pour déployer cette " /> sans avoir un contrat chez Adobe " />

Source.

 Extrait de la source:
 “Si vous n’êtes pas un utilisateur professionnel, rendez-vous sur get.adobe.com/flashplayer pour télécharger Adobe Flash Player pour votre système.“Tu pourras toujours télécharger le .exe, mais tu ne pourras pas le *redistribuer* dans contrat spécifique. Sinon, il n’y a que moi que ça fait tiquer dans la news: “Les versions de Flash inférieures à la 20.0.235 sont touchées (que ce soit sur Windows, OS X, Linux, Chrome OS, Internet Explorer ¹⁰⁄₁₁, Edge et Chrome)” => on mélange OS et navigateurs ? ou alors IE 10/11/Edge ont un flash intégré ?

vercety974 a écrit :

Mais on s’en fiche du nombre de failles… L’essentiel est qu’elles soient corrigées rapidement.

Je suis pas d’accord, corriger des failles rapidement est important mais partir sur des bases les plus saines possibles est à mon avis encore plus important.

Ricard

Jarodd a écrit :

Il me semblait que les correctifs étaient abandonnés pour la version Linux ? " />

" />
En tout cas, il serait plus que temps d’euthanasier cette vérole à l’agonie. Il devrait même y avoir une loi pour ça.

Zone démilitarisée Abonné

À voir si ceux-là aussi sont supprimés :

Firefox :
http://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_playe…

Opéra/Chromium :
http://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_playe…

Internet Explorer :
http://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_playe…

Exagone313 Abonné

Sinon y a Vivaldi, un fork de Chrome non affilié à Google. Suffit de virer les signets par déaut qui sont un peu de la publicité et ça a l’air d’aller ensuite (on peut installer les extensions de Chrome donc bloqueurs de publicités/améliorateurs de vie privée/sécurité etc…). Il y a d’autres forks aussi, comme Iron …

psn00ps Abonné

Abused a écrit :

si on veut compter le nombre de failles > MCrosoft est en tete
surtout qu’il y a encore des failles 0-days non comblées a gauche et a droite …

le plus gros probleme de Flash : la Pub
ce qui a tenu Flash aussi longtemps : la Pub

je dois encore avoir quelque part FuturSplash

pour ce qui est des flux videos avec du Html5 sur mobile
ca tue tout aussi vite la batterie que du flash

" /> le plus gros problème de Flash : l’utilisation qui en est faite : des pubs mal conçues et multipliées.

Diom

Exagone313 a écrit :

Sinon y a Vivaldi, un fork de Chrome non affilié à Google. Suffit de virer les signets par déaut qui sont un peu de la publicité et ça a l’air d’aller ensuite (on peut installer les extensions de Chrome donc bloqueurs de publicités/améliorateurs de vie privée/sécurité etc…). Il y a d’autres forks aussi, comme Iron …

Ou Chromium.

NSophis

Je n’utilise plus flash depuis 3 mois (tout viré) et je n’en ressens pas spécialement le manque.
 
La plupart des sites que je consulte et qui utilisaient cette technologie ont su évoluer et sont passés à des lecteurs html5 avec succés.

J’ai mis de côté temporairement les sites qui continuent d’utiliser du flash.

Fantassin

Il faut garder Flash car c’est plus facile à dire que hashtéémélsinq !

Exagone313 a écrit :

Sinon y a Vivaldi, un fork de Chrome non affilié à Google. Suffit de virer les signets par déaut qui sont un peu de la publicité et ça a l’air d’aller ensuite (on peut installer les extensions de Chrome donc bloqueurs de publicités/améliorateurs de vie privée/sécurité etc…). Il y a d’autres forks aussi, comme Iron …

Je connais et j’utilise sur ma station de travail. Déploiement ailleurs envisagé, en commençant par mon portable.

matroska

Je n’ai pas Flash directement installé sous Windows 10 x64, et de toute façon j’utilise Firefox qui n’a pas non plus de plugin relié à Flash. Je n’ai aucun souci particulier dans le surf ou le visionnage de vidéos qui se font par l’intermédiaire de HTML5, hormis de rares cas qui me demandent d’installer Flash, dans ces cas-là je quitte la page.

" />

Il est vrai que Flash est implémenté dans Edge sous Windows 10 et il se met à jour par le biais de Windows Update. Et si j’en ai vraiment absolument besoin (ce qui est très rare), j’utilise Chrome qui lui intègre toujours les dernières versions.

" />

sr17

jaretlafoudre a écrit :

Ca dépends de ce qu’on fait avec je suppose, lecteur vidéo etc ça doit être mieux, mais par exemple, j’avais fait en flash un lecteur de code EAN freemove, qui tournais parfaitement sur un GS3, j’ai du le refaire en javascript sur chrome (déjà il n’y a que chrome qui permet d’accéder a la caméra du smartphone), résultat, il tallait au moine un haut de gamme de l’année dernière pour le faire tourner de façon aussi efficace… environ 4x plus de ram utilisé, et 35x plus de ressource CPU.
sur le GS3 je passais d’une analyse a la frame, à une analyse à plus de 1 image/s… j’ai même essayé des bibliothèque JS toute faite en me disant que mon code était peut être pas bien optimisé, c’était encore pire…

Ne te fatigue pas, Javascript, c’est un langage intrinsèquement inefficace. Et cela sans même parler de la pile de framework empilés qui achèvent le malade…

Quand un truc et mauvais à la base, mais que personne n’arrive à l’achever. Malgré tous les efforts, la pourriture s’étends… c’est ce qu’on appelle l’informatique zombie…

Folgore

Ah moi le pron je le télécharge, j’ai pas envie d’avoir un gif de loading en plein milieu de mon élan !

balifred_alias fred Abonné

Le jour ou Windows le mettra plus a jour sera beni :). En tout cas j’ai pas de flash installé à par celui de Windows update

Slash

La bonne résolution de l’année: Tout comme java, flash ne fera plus partie de mon ecosystème logiciel en 2016 " />

Vengeur_Masqué

D’ailleurs il faudrait un mode par défaut pour flash dans chrome afin de ne charger le plugin que quand c’est necessaire

Kwaïeur

Il y a moyen dans Chrome (et dans tous ses dérivés) de ne pas charger les plugins genre Flash ou Java, ou de les lancer au cas par cas en cliquant dessus. :) Paramètres -> Confidentialité de mémoire.

“rien”que pour ça (éh, éh) ! " />

domFreedom

John Shaft a écrit :

Ça doit être un plan pour forcer les entreprises à virer ce machin des postes " />

Et comment qu’on va faire, dans ma boite, pour aller sur “rire et chansons” quand on veut entre midi et 2 ? " />

Slash a écrit :

La bonne résolution de l’année: Tout comme java, flash ne fera plus partie de mon ecosystème logiciel en 2016 " />

J’ai essayé, sans trop faire exprès " /> il y a peu, en basculant tout le monde vers Firefox64 : j’en ai pris plein la gueule perso… " />
J’pouvais pas imaginer que cette daube de Java (plugin) pouvait être utilisé par autant d’applis et de TP de m" />. Bref, pour certains services et salles de TP, j’ai dû faire machine arrière, Firefox 32-bits, et fissa ! " />

M’en fout ! Fin 2016 (dixit Mozilla) ils z’iront se faire voir chez les grecs avec leur java de daube… " />

sr17 a écrit :

Ne te fatigue pas, Javascript, c’est un langage intrinsèquement inefficace. Et cela sans même parler de la pile de framework empilés qui achèvent le malade…

Quand un truc et mauvais à la base, mais que personne n’arrive à l’achever. Malgré tous les efforts, la pourriture s’étends… c’est ce qu’on appelle l’informatique zombie…

Je sais bien, mais avec toutes ces news ca donne l’impression justement que le HTML5/Javascript c’est le dutur , c’est tip/top, performant et tout, alors qu’a coté de flash, c’est… heu… ben no comment…
Flash a certe des défaut, mais HTML5/JS, le seul avantage, en gros c’est que ça ne demande pas de plugin…
Bon, en même temps ça donne une raison a la monté en puissance des smarphone et ordinateur…

Gundar

jaretlafoudre a écrit :

Je sais bien, mais avec toutes ces news ca donne l’impression justement que le HTML5/Javascript c’est le dutur , c’est tip/top, performant et tout, alors qu’a coté de flash, c’est… heu… ben no comment…
Flash a certe des défaut, mais HTML5/JS, le seul avantage, en gros c’est que ça ne demande pas de plugin…
Bon, en même temps ça donne une raison a la monté en puissance des smarphone et ordinateur…

Mais c’est le futur. Toutes les boites veulent que tout tourne dans le navigateur, des OS entiers sont bâti autours des navigateurs, le claoude c’est trop bien et tout… Donc on nivelle par la médiocrité. Et puis les machines aujourd’hui sont largemnt assez puissantes pour se le permettre alors pourquoi se priver ?

Adobe bouche 19 failles dans Flash, dont une déjà exploitée

C'est le moment de prendre de bonnes résolutions

Tiens, en parlant de ça :

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Dire que je râlais après les opérateurs de téléphonie mobile…

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Petite révolution tranquille

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

Report minoritaire

Sommaire de l'article

Introduction

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6 a sa première bêta, le tour des nouveautés

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Le poing Dev – Round 7

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

Trois consoles portables en quelques semaines

Cyberrésilience : les compromis (provisoires) du trilogue européen

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Pourquoi le site du média StreetPress a été momentanément inaccessible

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

19 associations européennes de consommateurs portent plainte contre Meta

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

CVSS 4.0 : dur, dur, d’être un expert !

Starlink accessible à Gaza sous contrôle de l’administration israélienne

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

AGI, GPAI, modèles de fondation… de quoi on parle ?

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion

MIA : l’IA d’enseignement de Gabriel Attal pour faire oublier le classement PISA

AI Act : des inquiétudes de l’impact de la position française sur les droits humains

Une centaine d’ONG dénonce l’expansion du fichier paneuropéen biométrique EURODAC

Meta coupe le lien entre Instagram et Messenger

Cloud : Amazon rejoint Google dans l’enquête de la CMA sur les pratiques de Microsoft

Mistral AI s’apprête à lever 450 millions d’euros auprès de NVIDIA et a16z

Commentaires (47)